Mehr Sicherheit für Firmen-E-Mails

Fachautor / freier Journalist für IT-Themen
Mit Managed Security Services gelang es dem Glashersteller Pilkington, seine weltweite Sicherheitsinfrastruktur für E-Mail zu vereinheitlichen und dazu noch bares Geld zu sparen.

Für das international agierende Unternehmen Pilkington ist die E-Mail-Kommunikation zur effizienten Gestaltung der Geschäftsabläufe wichtig. In den vergangenen Jahren nahmen jedoch Probleme wie Viren und Spam zu: Malware beeinträchtigte die Abläufe erheblich und hielt die Mitarbeiter von ihren eigentlichen Aufgaben ab. Um die Situation in den Griff zu bekommen, suchte der Glashersteller nach einer Lösung, deren Wirkung möglichst messbar sein sollte.

Hier lesen Sie …

Das Unternehmen

Pilkington wurde 1826 gegründet und ist einer der weltweit größten Hersteller von Glas- und Verglasungsprodukten für Gebäude-, Automobil- und verwandte technische Märkte. Die Gruppe weist einen Jahresumsatz von knapp vier Milliarden Euro auf, fertigt in 24 Ländern auf fünf Kontinenten und vertreibt ihre Erzeugnisse in mehr als 130 Ländern. Weltweit beschäftigt das Unter-nehmen zirka 24400 Mitarbeiter. Trotz des wachsenden internationalen Wettbewerbs ist der Glashersteller Marktführer in den Bereichen Hochbau sowie Automobilherstellung und -glasersatz.

Berechnung der geschätzten Kosten für einen virusbezogenen Zwischenfall

Aufwand der IT-Personalzeit für Säuberung und Reporting: 50200 Euro (Kosten = IT-Admin-Personalkosten x Zeitaufwand x Beteiligte des IT-Personals).

IT-Admin-Personalkosten: 251 Euro täglich (bei einem geschätzten Jahresgehalt von 43000 Euro).

Zeitaufwand: zehn Arbeitstage.

Beteiligte: 20 Personen.

Kosten des IT-Administrationspersonals für Reisen an infizierte Standorte oder die Beauftragung lokaler Dienstleister: 4300 Euro.

Kosten für Angestelltenzeit während Systemausfall: 83600 Euro

(Kosten = Personalkosten x Zeitaufwand x Menge an Personal).

Personalkosten: 209 Euro täglich (bei einem geschätzten Jahresgehalt von 36000 Euro).

Zeitaufwand: zehn Arbeitstage.

Beteiligte: 40.

Einkommensverlust durch Systemausfall: nicht gemessen.

Schaden an Ruf und Image des Unternehmens durch Systemausfall: nicht gemeldet.

Verstoß gegen gesetzliche Bestimmungen: nicht gemeldet.

Summe der geschätzten Kosten durch eine Virusinfektion (nur Personalzeit und Reisen): 138100 Euro.

Spam-Kosten

Volumen pro Monat: 1013631 Spam-E-Mails (51,93 Prozent des gesamten Aufkommens).

Angestelltenzeit pro Monat: 2816 Stunden x 26,21 Euro pro Stunde (bei einem geschätzten Jahresgehalt von 36000 Euro).

Geschätzte Kosten pro Monat: 73807 Euro.

Einsparungen durch Security-Services

Prävention virusbedingter Zwischenfälle: 690500 Euro (bei bis zu fünf Vorfällen mit je 138100 Euro Kosten).

Wegfall mehrerer E-Mail-Sicherheitssysteme: 43000 Euro.

Wegfall Spam-bedingten Kosten: 885684 Euro.

Einfacheres und daher zeitsparendes Reporting: 1745 Euro.

Summe Einsparungen pro Jahr: 1620929 Euro.

Projektsteckbrief

Bei Pilkington gibt es derzeit 12650 E-Mail-Clients weltweit, monatlich versendet und empfängt das Unternehmen mehr als zwei Millionen elektronische Nachrichten. Die E-Mails werden zentral in Großbritannien verwaltet, über alle Zeitzonen hinweg sind IT-Teams permanent verfügbar. Die Service-Center in England und Deutschland sorgen für die europäischen Niederlassungen, in Brasilien wird Südamerika abgedeckt, daneben gibt es ein Team für Australien und Asien und eines für die USA.

Unternehmenskritisch

Ein länger als 24 Stunden dauernder Ausfall des Mail-Servers hätte erhebliche Auswirkungen auf sämtliche Geschäftsabläufe. Denn alle Abteilungen vom Vertrieb über Einkauf, Marketing, Buchhaltung, Verwaltung über HR hin zu Forschung und Entwicklung hängen von diesem schnellen und effizienten Medium ab, wenn auch in unterschiedlichem Umfang.

In den späten 90er Jahren erkannte Pilkington, dass eine zentrale Verwaltung seiner IT-Systeme greifbare Vorteile erbringen würde. Seitdem hat das Unternehmen seine IT-Systeme und -Operationen systematisch konsolidiert und verwaltet sie heute zentral. Die Kosten ließen sich so bei einer gleichzeitigen Steigerung der Gesamtleistung beträchtlich senken. Vor dem Zentralisierungsprojekt hatte fast jedes der insgesamt 24 Länder eine oder mehrere eigene IT-Abteilungen. Und auch die Verwaltung der elektronischen Post erfolgte für jedes Land separat: "Wir hatten 80 verschiedene IT-Abteilungen, und der Bedarf an Konsolidierung war gewaltig", so Stephen Pownall, Global IS-Director bei Pilkington.

Die Sicherheit der E-Mail-Kommunikation lag ebenfalls in lokaler Verantwortung. Hierbei kamen die verschiedensten Lösungen zum Einsatz, angefangen von Desktop- und Serversoftware bis hin zu Appliances und anderen verwalteten Diensten. Trotz dieser Bemühungen gelangten immer wieder E-Mail-Viren ins Netz und störten schwer: Ein typischer virenbasierender Zwischenfall schaltete drei oder vier Betriebe für 24 bis 48 Stunden aus. Während der Säuberungszeiten waren E-Mail und andere IT-Systeme nicht verfügbar. "Bei solchen Gelegenheiten waren zuweilen bis zu 20 Administratoren weltweit beschäftigt, die Kosten stiegen rasant", erinnert sich Pownall.

Teure Vireninfektionen

Pilkington war von bis zu fünf Virusangriffen im Jahr betroffen. Nicht selten dauerte es bis zu zehn Arbeitstage, um die Systeme wieder einwandfrei herzustellen und das anschließende Reporting abzuschließen. Waren beispielsweise 20 Administratoren (mit einem geschätzten Jahresgehalt von 43000 Euro) hiermit beschäftigt, so beliefen sich allein die Kosten für die Arbeitszeit auf 50200 Euro .

Rechnet man Reisekosten an infizierte Niederlassungen oder das Honorar für lokale Dienstleister hinzu, fallen durchschnittlich weitere 4300 Euro an. Hinzu kommen die Kosten für die ausgefallene Arbeitszeit der durch den Virenbefall betroffenen Angestellten: Geht man wiederum von zehn Arbeitstagen bei etwa 40 Angestellten mit einem Jahresgehalt von 36000 Euro aus, berechnet sich der Schaden auf zusätzliche 83600 Euro.

Insgesamt kommt man also allein bei den Kosten für Arbeits- und Ausfallzeit des eigenen Personals auf 138 100 Euro pro Vorfall - hier sind jedoch noch keine Einkommensverluste durch Systemausfall eingerechnet. Auch die Schäden an Ruf und Image lassen sich nicht in Zahlen bemessen. Eine Beispielrechnung (siehe Kasten "Berechnung der geschätzten Kosten") zeigt, wie die finanziellen Auswirkungen nach einem "ganz normalen" Virusangriff eskalieren konnten.

Doch nicht nur Virenangriffe beeinträchtigten die Produktivität und Kontinuität der Geschäftsabläufe. Spam störte die Mitarbeiter und senkte die Effizienz der IT-Dienste. Die Beschwerden und der Druck von Seiten der Angestellten nahmen stetig zu - vor allem, da ein Teil der unerwünschten elektronischen Post anstößiger Art war. Allmählich machte sich auch eine Beeinträchtigung der Produktivität bemerkbar.

Rückblickende Schätzung

Auf Basis späterer Analysen des identifizierten und abgewehrten Spam-Volumens lässt sich im Rückblick schätzen, wie hoch die Produktivitätseinbußen durch Spam waren: So belief sich die Spam-Quote auf knapp 52 Prozent aller eintreffenden E-Mails. Pro Monat landeten zirka 1013600 unerwünschte Werbe-Mails in den Postfächern der Angestellten. Geht man von einer Verarbeitungszeit von etwa zehn Sekunden je Mail aus, ließen sich die Kosten für das manuelle Ausfiltern mit 73800 Euro im Monat veranschlagen - bei einem Jahresgehalt von 36000 Euro pro Mitarbeiter (siehe Kasten"Spam-Kosten").

Es musste also eine Lösung für die zunehmende Viren- und Spam-Flut gefunden werden. Die Entscheidung für eine verwaltete E-Mail-Sicherheitslösung war nur folgerichtig, um der zentralisierten Struktur der IT-Systeme entsprechen zu können.

Zu hohe Betriebskosten

Pilkington prüfte im Vorfeld die Angebote verschiedener E-Mail-Sicherheitsanbieter einschließlich Sicherheitssoftware, Appliances und unterschiedlicher Managed Security Services. In der ersten Phase der Auswertung zeigte sich, dass eine softwaregestützte Lösung zu hohe Betriebskosten mit sich bringen würde, da auch die Kosten für Server und IT-Verwaltung berücksichtigt werden mussten. So sprachen diverse Gründe für die Managed E-Mail-Security-Services von Messagelabs: Hierzu zählten die Fähigkeit, einen kostengünstigen, globalen und skalierbaren E-Mail-Sicherheitsdienst zu bieten, die Transparenz der Nutzung und die Möglichkeit auch potenzielle Probleme für Pilkington sichtbar zu machen.

Ab Februar 2005 erfolgte die schrittweise Eingliederung von 12 650 E-Mail-Clients in die Managed Anti-Virus- und Anti-Spam-Services - Domäne für Domäne. Nach fünf Monaten waren alle Domänen in den Dienst eingebunden. Zur Aktivierung des Service reicht es aus, die ein- und ausgehenden E-Mails über die Infrastruktur des Managed-Service-Providers umzuleiten. Dazu bedarf es lediglich der Umschaltung jedes Domain-MX-Records (Mail-Exchange).

Heute scannen der Anti-Virus- und Anti-Spam-Service monatlich mehr als zwei Millionen E-Mails für Pilkington, wehren dabei mehr als 62 000 Viren ab und filtern über 50 Prozent aller eingehenden E-Mails als Spam aus. Darüber hinaus konnten bösartige Angriffe auf die Pilkington-Domänen abgewehrt und zahlreiche betrügerische Attacken verhindert werden, die auf einzelne Mitarbeiter abzielten. Die globale Infrastruktur ist in der Lage, weltweit die gesamte E-Mail-Aktivität von Pilkington zu überwachen und zu protokollieren.

Messbare Sicherheit

"Im Rückblick müssten wir über die Anzahl betrügerischer E-Mails, die in unser Unternehmen gelangten, besorgt sein. Damals konnten wir aber noch nicht erkennen, welche Ausmaße das Problem hatte - bis der neue Service den Level der blockierten Angriffe meldete", so Stan Petty, Security Manager bei Pilkington.

Die im Rahmen der IT-Zentralisierung eingeführten, ausgelagerten E-Mail-Security-Services hatten für Pilkington mehrere Vorteile: So können sich die IT-Teams stärker auf ihre Kernaufgaben konzentrieren, da nur noch wenig Interaktion zur Aufrechterhaltung der E-Mail-Sicherheit erforderlich ist: Momentan fallen für das Service Center wöchentlich noch drei bis vier Stunden Aufwand zum Feinjustieren der Black- und White-Lists an. Dem gegenüber stehen Einsparungen, die sich insgesamt etwa 1,6 Millionen Euro pro Jahr belaufen (siehe Kasten "Einsparungen").

Die Sicherung der E-Mail-Systeme mit Hilfe eines externen Dienstleisters hat sich für Pilkington gelohnt: "Die Managed Security Services haben uns vor allem Sicherheit und Gewissheit verliehen", so Petty. Mit den verwalteten Diensten werde vieles einfacher: "Zuvor konnte uns ein Anstieg des E-Mail-Verkehrs aus den Gleisen werfen, jetzt ist das praktisch unmöglich." Momentan denkt das Unternehmen deshalb bereits darüber nach, die Dienstleistung in Richtung Spyware- und Virenabwehr aus dem Internet beziehungsweise URL-Filtering auszuweiten. (ave)